. مهمترين نكته كار با WSUS، راه اندازي Test Lab مي باشد.
روزانه در مورد حفره هاي امنيتي جديد در ويندوز و ساير محصولات مايكروسافت در اينترنت مي خوانيم. و اينكه مايكروسافت Patch و يا Hotfix براي برطرف كردن مشكل ارائه كرده است. ولي آيا اين Hotfix ها و ... با سرويس ها و نرم افزارهاي موجود روي كلاينت سازگاري دارند؟ آيا زماني كه مثلا Update براي Driver كارت شبكه كلاينت را نصب مي كنيد، مطمئن هستيد كه اين Update اختلالي به وجود نمي آورد؟
هميشه به خاطر داشته باشيد كه قبل از اعمال Update ها روي كلاينت ها، حتما تمامي آنها را روي Test Lab براي مدت زمان حد اقل 1 هفته آزمايش كنيد. حالا چه اين Update ها مربوط به Security Update باشند، چه مربوط به بروز رساني Driver ها و يا Update براي سري Microsoft Office و ...
2. شما لازم نيست تمامي Update هاي ارائه شده توسط مايكروسافت را نصب كنيد. تعداد زيادي از اين Update ها پس از گزارش مشتريان در مورد بروز مشكل روي كلاينت هايشان توسط مايكروسافت ارائه شده است. گزارش هاي مشتريان اغلب هنگام مواجه شدن با ناسازگاري سرويسي از ويندوز با نرم افزارهاي موجود روي كلاينتشان مي باشد و يا هنگام مرور كردن اينترنت. دانلود و نصب اين Update ها عملا پهناي باند اينترنت و شبكه را اشغال كرده و همينطور بار اضافي روي كلاينت هاي شما خواهد گذاشت.
3. اگر در مورد Update خاصي مطمئن نيستيد، حتما قبل از نصب در مورد آن تحقيق كنيد. با توجه به زياد بودن تعداد Update ها (بسته به سرويس هاي مورد استفاده در سازمان) خيلي از كاربران تمامي Update ها را انتخاب كرده و Approve مي كنند. سعي كنيد هر چند گذرا، Update ها را مورد بررسي قرار داده تا از صحت و سازگاري آنها با كلاينت ها و يا سرورهاي خود، اطمينان حاصل كنيد.
4. با توجه به اينكه اكثر كلاينت ها و سرور ها در ايران از نسخه هاي Crack شده ويندوز استفاده مي كنند، دقت كنيد كه Update هاي مربوط به WGA (Windows Geniune Advantage) را دانلود و نصب نكنيد. اين آپديت چك مي كند كه آيا سريال مورد استفاده روي كلاينت مورد تاييد مايكروسافت هست يا نه. با توجه با استفاده اكثر شركت ها و سازمان هاي ايراني از نسخه هاي Crack شده ويندوز، نصب اين آپديت موجب از بين رفتن Crack و Activation ويندوز شده و ويندوز به نسخه Trial تبديل خواهد شد. البته اين حالت براي تمامي كلاينت ها اين گونه نيست و روي برخي از كلاينت ها، ممكن است مشكلي به وجود نياورد.تصور كنيد كه اين Update روي 500 كلاينت نصب شود، چه فاجعه سازماني رخ خواهد داد!
برخي از اين Update ها به شرح زير هستند:
KB 892130 (Windows XP)
KB 905474 (Windows XP)
KB 916247 (Windows XP)
KB 971033 (Windows 7)
5. ممكن است پس از اعمال GPO، باز هم كلاينت ها موفق به ارتباط با WSUS نشوند و يا WSUS كلاينت ها را در كنسول خود نشان ندهد. توجه داشته باشيد كه در تنظيمات Intranet update server، گاهي مي بايست پورت مورد استفاده WSUS را نيز وارد كنيد. مانند زير:
http://WSUS:8530
6. در سازمان هايي كه تعداد كلاينت ها زياد است، از چندين GPO براي مديريت WSUS استفاده كنيد. سعي كنيد بار اضافي روي سرور WSUS قرار ندهيد. GPO هايي كه ايجاد مي كنيد مي بايست با توجه به نياز هاي سازماني نيز باشند. براي مثال در نظر بگيريد كه واحد مالي در سازمان شما، بين ساعت هاي 10 تا 12 بيشترين زمان مفيد كاري را دارند. مسلما كند شدن كلاينت و يا ارتباطات شبكه در اين ساعت موجب نارضايتي كاركنان و پايين آمدن بازدهي كاري آنها خواهد شد. بنابراين مي توانيد GPO مربوط به اداره مالي را به طريقي تنظيم كنيد كه در ساعت 2 ظهر اقدام به بروز رساني كلاينت ها در اين اداره نمايد. همچنين مي توان از WMI Filtering براي تفكيك سيستم عامل ها استفاده كرد. سعي كنيد زمان بروز رساني را بين كلاينت ها تقسيم كنيد. براي مثال يك سوم كلاينت ها در ساعت 10، يك سوم كلاينت ها در ساعت 12 و يك سوم كلاينت ها در ساعت 2 ظهر بروز شوند.
7. هنگام بروز رساني سرور ها، Update ها را به صورت مجزا و دانه دانه نصب كنيد. حتما قبل از بروز رساني سرور ها، از آنها Backup تهيه كنيد. در صورتي كه سرور شما، سرويس نرم افزاري خاصي را در شبكه ارائه مي دهد، حتما از سازگاري Update ها با نرم افزارهاي موجود اطمينان حاصل كنيد.
8. با توجه به اينكه سرور WSUS با اينترنت و تمامي كلاينت هاي شما ارتباط دارد، حتما نكات امنيتي مربوط به امنيت سرور WSUS را رعايت كنيد. Antivirus و Firewall موجود روي سرور را چك كنيد. چراكه در صورت آلوده بودن سرور شما به ويروس، امكان انتقال اين آلودگي به كلاينت ها بسيار زياد خواهد بود.
9. به منظور كنترل هر چه بيشتر بروز رساني ها و همينطور جلوگيري از بروز اختلال، چند Computer Group در كنسول ايجاد كنيد. ميتونين طبقه بندي هايي مثل Windows Server 2003 Servers، Windows Server 2008 Servers، Windows 7 Clients ... داشته باشيد. يا اينكه اين دسته بندي رو بر حسب اداره ها انجام بدين. مثلا ممكن هستش كه يه Update مورد نياز اداره مالي باشه، ولي اداره هاي ديگه بهش نيازي نداشته باشن. اينطور ميتونين Update هاي مناسب را روي كلاينت هاي مناسب انجام بدين.
10. هميشه به فضاي خالي روي پارتيشن سيستمي كلاينت ها دقت كنيد. اعمال تعداد Update هاي زياد روي كلاينت هايي كه فضاي كافي ندارن، عملا باعث كند شدن آنها ميشه. اين نكته رو توجه كنين كه بين Security و Performance يا Efficiency (امنيت و كارايي) تعادل برقرار كنيد. چون در نهايت كارايي سيستم ها هستش كه باعث پيشرفت كار ميشه.
11. هميشه حواستون به سخت افزار كلاينت ها باشه. اعمال زياد Update ها روي كلاينت هايي كه سخت افزار خوبي ندارند فقط كارايي رو كم ميكنه. هميشه براي اين كلاينت ها، Update ها رو دسته بندي كنيد كه حجم Update ها از مقدار مشخصي بيشتر نشه. از طرفي همونطور كه اشاره كردن، در ساعاتي كه كاربران كمتر با كلاينت ها كار مي كنند، Update ها رو اعمال كنيد.
. مهمترين نكته كار با WSUS، راه اندازي Test Lab مي باشد.
روزانه در مورد حفره هاي امنيتي جديد در ويندوز و ساير محصولات مايكروسافت در اينترنت مي خوانيم. و اينكه مايكروسافت Patch و يا Hotfix براي برطرف كردن مشكل ارائه كرده است. ولي آيا اين Hotfix ها و ... با سرويس ها و نرم افزارهاي موجود روي كلاينت سازگاري دارند؟ آيا زماني كه مثلا Update براي Driver كارت شبكه كلاينت را نصب مي كنيد، مطمئن هستيد كه اين Update اختلالي به وجود نمي آورد؟
هميشه به خاطر داشته باشيد كه قبل از اعمال Update ها روي كلاينت ها، حتما تمامي آنها را روي Test Lab براي مدت زمان حد اقل 1 هفته آزمايش كنيد. حالا چه اين Update ها مربوط به Security Update باشند، چه مربوط به بروز رساني Driver ها و يا Update براي سري Microsoft Office و ...
2. شما لازم نيست تمامي Update هاي ارائه شده توسط مايكروسافت را نصب كنيد. تعداد زيادي از اين Update ها پس از گزارش مشتريان در مورد بروز مشكل روي كلاينت هايشان توسط مايكروسافت ارائه شده است. گزارش هاي مشتريان اغلب هنگام مواجه شدن با ناسازگاري سرويسي از ويندوز با نرم افزارهاي موجود روي كلاينتشان مي باشد و يا هنگام مرور كردن اينترنت. دانلود و نصب اين Update ها عملا پهناي باند اينترنت و شبكه را اشغال كرده و همينطور بار اضافي روي كلاينت هاي شما خواهد گذاشت.
3. اگر در مورد Update خاصي مطمئن نيستيد، حتما قبل از نصب در مورد آن تحقيق كنيد. با توجه به زياد بودن تعداد Update ها (بسته به سرويس هاي مورد استفاده در سازمان) خيلي از كاربران تمامي Update ها را انتخاب كرده و Approve مي كنند. سعي كنيد هر چند گذرا، Update ها را مورد بررسي قرار داده تا از صحت و سازگاري آنها با كلاينت ها و يا سرورهاي خود، اطمينان حاصل كنيد.
4. با توجه به اينكه اكثر كلاينت ها و سرور ها در ايران از نسخه هاي Crack شده ويندوز استفاده مي كنند، دقت كنيد كه Update هاي مربوط به WGA (Windows Geniune Advantage) را دانلود و نصب نكنيد. اين آپديت چك مي كند كه آيا سريال مورد استفاده روي كلاينت مورد تاييد مايكروسافت هست يا نه. با توجه با استفاده اكثر شركت ها و سازمان هاي ايراني از نسخه هاي Crack شده ويندوز، نصب اين آپديت موجب از بين رفتن Crack و Activation ويندوز شده و ويندوز به نسخه Trial تبديل خواهد شد. البته اين حالت براي تمامي كلاينت ها اين گونه نيست و روي برخي از كلاينت ها، ممكن است مشكلي به وجود نياورد.تصور كنيد كه اين Update روي 500 كلاينت نصب شود، چه فاجعه سازماني رخ خواهد داد!
برخي از اين Update ها به شرح زير هستند:
KB 892130 (Windows XP)
KB 905474 (Windows XP)
KB 916247 (Windows XP)
KB 971033 (Windows 7)
5. ممكن است پس از اعمال GPO، باز هم كلاينت ها موفق به ارتباط با WSUS نشوند و يا WSUS كلاينت ها را در كنسول خود نشان ندهد. توجه داشته باشيد كه در تنظيمات Intranet update server، گاهي مي بايست پورت مورد استفاده WSUS را نيز وارد كنيد. مانند زير:
http://WSUS:8530
6. در سازمان هايي كه تعداد كلاينت ها زياد است، از چندين GPO براي مديريت WSUS استفاده كنيد. سعي كنيد بار اضافي روي سرور WSUS قرار ندهيد. GPO هايي كه ايجاد مي كنيد مي بايست با توجه به نياز هاي سازماني نيز باشند. براي مثال در نظر بگيريد كه واحد مالي در سازمان شما، بين ساعت هاي 10 تا 12 بيشترين زمان مفيد كاري را دارند. مسلما كند شدن كلاينت و يا ارتباطات شبكه در اين ساعت موجب نارضايتي كاركنان و پايين آمدن بازدهي كاري آنها خواهد شد. بنابراين مي توانيد GPO مربوط به اداره مالي را به طريقي تنظيم كنيد كه در ساعت 2 ظهر اقدام به بروز رساني كلاينت ها در اين اداره نمايد. همچنين مي توان از WMI Filtering براي تفكيك سيستم عامل ها استفاده كرد. سعي كنيد زمان بروز رساني را بين كلاينت ها تقسيم كنيد. براي مثال يك سوم كلاينت ها در ساعت 10، يك سوم كلاينت ها در ساعت 12 و يك سوم كلاينت ها در ساعت 2 ظهر بروز شوند.
7. هنگام بروز رساني سرور ها، Update ها را به صورت مجزا و دانه دانه نصب كنيد. حتما قبل از بروز رساني سرور ها، از آنها Backup تهيه كنيد. در صورتي كه سرور شما، سرويس نرم افزاري خاصي را در شبكه ارائه مي دهد، حتما از سازگاري Update ها با نرم افزارهاي موجود اطمينان حاصل كنيد.
8. با توجه به اينكه سرور WSUS با اينترنت و تمامي كلاينت هاي شما ارتباط دارد، حتما نكات امنيتي مربوط به امنيت سرور WSUS را رعايت كنيد. Antivirus و Firewall موجود روي سرور را چك كنيد. چراكه در صورت آلوده بودن سرور شما به ويروس، امكان انتقال اين آلودگي به كلاينت ها بسيار زياد خواهد بود.
9. به منظور كنترل هر چه بيشتر بروز رساني ها و همينطور جلوگيري از بروز اختلال، چند Computer Group در كنسول ايجاد كنيد. ميتونين طبقه بندي هايي مثل Windows Server 2003 Servers، Windows Server 2008 Servers، Windows 7 Clients ... داشته باشيد. يا اينكه اين دسته بندي رو بر حسب اداره ها انجام بدين. مثلا ممكن هستش كه يه Update مورد نياز اداره مالي باشه، ولي اداره هاي ديگه بهش نيازي نداشته باشن. اينطور ميتونين Update هاي مناسب را روي كلاينت هاي مناسب انجام بدين.
10. هميشه به فضاي خالي روي پارتيشن سيستمي كلاينت ها دقت كنيد. اعمال تعداد Update هاي زياد روي كلاينت هايي كه فضاي كافي ندارن، عملا باعث كند شدن آنها ميشه. اين نكته رو توجه كنين كه بين Security و Performance يا Efficiency (امنيت و كارايي) تعادل برقرار كنيد. چون در نهايت كارايي سيستم ها هستش كه باعث پيشرفت كار ميشه.
11. هميشه حواستون به سخت افزار كلاينت ها باشه. اعمال زياد Update ها روي كلاينت هايي كه سخت افزار خوبي ندارند فقط كارايي رو كم ميكنه. هميشه براي اين كلاينت ها، Update ها رو دسته بندي كنيد كه حجم Update ها از مقدار مشخصي بيشتر نشه. از طرفي همونطور كه اشاره كردن، در ساعاتي كه كاربران كمتر با كلاينت ها كار مي كنند، Update ها رو اعمال كنيد.
معرفي لينوكس ردهت (كلاه قرمز)